远程 Debian 11 主机上安装的多个程序包受到 dla-4583 公告中提及的多个漏洞影响。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-4583-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Arnaud Rebillout 2026 年 5 月 15 日https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    程序包：python3.9 版本：3.9.2-1+deb11u7 CVE ID：CVE-2025-13462 CVE-2026-0672 CVE-2026-2297 CVE-2026-3644 CVE-2026-4224 CVE-2026-4519 Debian 缺陷：

    已在 Python 3.9 中发现多种漏洞。

    CVE-2025-13462

        tarfile 模块仍会将 AREGTYPE (\x00) 块的规范化应用到 DIRTYPE，即使在处理多区块成员（例如 GNUTYPE_LONGNAME 或 GNUTYPE_LONGLINK）时也是如此。与其他实现相比，这可导致 tarfile 模块错误解释构建的 tar 存档。

    CVE-2026-0672

        使用 http.cookies.Morsel 时，用户控制的 Cookie 值和参数可允许将 HTTP 标头注入消息。Patch 拒绝 Cookie 名称、值和参数中的所有控制字符。

    CVE-2026-2297

        CPython 中用于处理旧版 *.pyc 文件 (SourcelessFileLoader) 的导入钩子在 FileLoader（基类）中的处理有误，因此不会使用 io.open_code() 读取 .pyc 文件。
        因此，不会触发此审计事件的 sys.audit 处理程序。

    CVE-2026-3644

        CVE-2026-0672 的修复不完整，它拒绝了 http.cookies.Morsel 中的控制字符。Morsel.update()、|= 运算符和 unpickling 路径未经过修补，允许控制字符绕过输入验证。此外，BaseCookie.js_output() 缺少应用于 BaseCookie.output() 的输出验证。

    CVE-2026-4224

        当具有已注册 ElementDeclHandler 的 Expat 解析器解析包含深度嵌套内容模型的内联文档类型定义时，会发生 C 堆栈溢出。

    CVE-2026-4519

        The webbrowser.open() API 允许 URL 中出现前导破折号，某些网络浏览器可以将其作为命令行选项进行处理。现在，URL 中不再接受前导破折号。建议用户在将 URL 传递给 webbrowser.open() 之前对其进行清理。

    对于 Debian 11 bullseye，已在 3.9.2-1+deb11u7 版本中修复这些问题。

    我们建议您升级 python3.9 程序包。

    如需了解更多 python3.9 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/python3.9

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Debian dla-4583：idle-python3.9 - 安全更新

high Nessus 插件 ID 314932

版本 1.2